Dos años pasan volando. El nuevo GDPR (General Data Protection Regulation) entró en vigor el 25 de mayo de 2016 y será de obligado cumplimiento el mismo día de este 2018. Si tu empresa aún no se ha adaptado, más vale que empiece a hacerlo cuanto antes.
No se trata de un mero trámite ni de una disposición adicional, sino de un asunto vital en lo que a seguridad, privacidad y tratamiento de información se refiere, pero algunos datos son verdaderamente preocupantes: según Crowd Research Partners, el 30% de las empresas no están preparadas para adaptarse al nuevo reglamento.
El GDPR va a marcar el presente más inmediato de las compañías a nivel europeo y las que no inserten el nuevo reglamento dentro de su ámbito legal se enfrentarán a dos posibles peligros: las consecuencias legales y económicas y los riesgos de ciberseguridad asociados.
Las consecuencias de incumplir el GDPR
1.- Para las cuentas de tu empresa
El incumplimiento del GDPR tiene asociados cuatro niveles de sanciones: la advertencia, la amonestación, la suspensión del tratamiento de datos y la multa económica. En este último caso, las hay de dos niveles: en el Nivel 1, un pago de 10 millones de euros o el 2% de los ingresos anuales (la cifra que sea más alta); en el Nivel 2, un pago de 20 millones o el 4% de los ingresos anuales (de nuevo, la cifra más alta).
Si a todo eso (que no es poco) le sumamos las reclamaciones que te hagan llegar los usuarios afectados por tu infracción o las posibles denuncias de cualquier agente económico o empresarial, créenos: saltar por encima del reglamento te acabará afectando mucho más de lo que te imaginas. Y, definitivamente, no te va a compensar.
2.- Para la credibilidad de tu negocio
No cumplir con el GDPR también puede poner en serio peligro la viabilidad empresarial y el futuro de tu compañía. ¿De verdad quieres ser el único que no cumple con un reglamento obligatorio en toda la Unión Europea? En ese caso, prepárate para que tu empresa sea conocida por ello.
No es cosa de poco: el GDPR te obliga, entre otras cosas, a notificar oficialmente la posible filtración de datos privados de usuarios. Si prefieres incumplir el reglamento, la imagen de tu compañía será asociada a dicha vulneración de cara a la opinión pública y dentro de tu sector. Y la próxima vez que quieras alcanzar acuerdos comerciales de cualquier tipo, este será uno de los principales motivos por los que seguramente recibas un no como respuesta.
La verdadera batalla: la ciberseguridad
Pero la cosa no acaba aquí. Si 2017 y 2018 están siendo por excelencia los años de ataques a la ciberseguridad de las empresas, el GDPR viene a ser un ingrediente más de la jugosa receta que los ciberdelincuentes de todo el mundo ya están preparando para llevar a cabo este tipo de crímenes.
Si crees que no es para tanto, te invitamos a que reflexiones sobre las dos posibles situaciones que pueden darse en caso de que alguien quiera vulnerar tu ciberseguridad y coger el GDPR como la principal punta de su lanza:
1.- Extorsión económica
Ponte en situación. Pese a que debes cumplir con el nuevo reglamento comunitario, resulta que no lo has hecho. Alguien encuentra una brecha de seguridad en tu compañía, la vulnera, accede a según qué datos y… ¡bingo! Descubre tu incumplimiento. El ciberdelincuente sabe de sobra que puedes enfrentarte a multas de hasta 20 millones de euros, así que, ¿qué tal si te pide una ‘recompensa’ económica a cambio de no abrir la boca?
Lo cierto es que cualquier compensación que te pida será mucho menor que la posible multa, pero, aparte de que estarás infringiendo la normativa, también te estarás arriesgando a que la extorsión no acabe ahí.
2.- Chantaje
Con las elecciones de Estados Unidos, entre otros casos, lo tuvimos claro: los ciberataques no tienen por qué tener un interés necesariamente económico, sino que también pueden tener fines políticos, ideológicos, sociales o empresariales. Si alguien descubre vulnerabilidades en tu ciberseguridad, podría intentar obligarte a que lleves a cabo acciones que no quieres acometer.
Ni que decir tiene que, para evitar cualquiera de las dos situaciones anteriores, deberás cuidar de manera inconmensurable la ciberseguridad de tu compañía. Una medida que debe acompañarte en el día a día de la empresa, pero más especialmente en este contexto.
Esperamos haberte convencido. Si tu empresa aún no se ha puesto manos a la obra con el GDPR o lo ha hecho pero aún os queda trabajo por terminar, consulta nuestra guía para adaptarte al nuevo reglamento cuanto antes. Y si quieres equiparte a nivel tecnológico y de ciberseguridad, Panda Adaptive Defense con su módulo Panda Data Control puede ayudarte no solo a la hora de prevenir cualquier ataque, sino también al defenderte en caso de que este ya se haya producido.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
